Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 937 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Vitual IP's and Net-to-Net IPSec

JerzHere
Hello All,
Will IPSec Net-to-Net work w/ Multiple Internal VIP's? i.e.; Tunnel #1 can access VIP Network 192.168.150.0/24, Tunnel #2 can access VIP Network 192.168.151.0/24, and so forth.

If so, will setting up the IPSec Connection be enough or will I have to set some routes?

If not, any suggestion on an alt config?

   


This thread was automatically locked due to age.
  • 0
    Should work. You do not need any routes. Just setup your subnetdefinitions correctly.

    Xeno 
  • 0
    I mean, you can't setup VPNs on a VIP!!
     
  • 0 in reply to medic
    HI there, 

    it seems that their is some missunderstanding going arround, 
    let me try explain it.


    In a net to net or site to site vpn, you can not use virtual ip address, 
    but you don't need them anyway.

    Virtual IP addresses are only need if you connect roadwarriors.
    A roadwarrior is a single PC or Laptop that connects to the local LAN 
    using an IPSec client software and the ip address he comes from changes always.

    Such a roadwarrior without VIP has two limitations, 
    a) you can not set any packet filter rules because you don't know from which ip the roadwarrior will come next.
    b) the roadwarrior can not be accessed from the local lan, as no one knows his ip.

    If you want to use NAT-traversal, the draft states that the tunnel endpoint and the ip address that sends traffic through the tunnel should not be the same, in a roadwarrior set this is  normally the case, that is why you always have to use VIP if your roadwarrior wants to use NAT-T.

    In a site to site VPN like this:
     Code:
     LAN1 === FW1 ---- Internet ---- FW2 === LAN2 
     

    There is no need to use VIP, becaue the ip addresses of LAN1 and LAN2 never changes, they are always known  to each other, and if you want to use NAT-T the tunnel endpoint is never equal the ip address that communicates through the tunnel.

    You also don't need to set any routes manually, because we take care of this.
    If a PC from LAN1 wants to contact a server on LAN2, you just have to make sure the packets arrive at the firewall (default gw), the ipsec tunnel will do the rest, but don't forget to add a packet filter rule that allows communication through the tunnel.

    regards
    Gert 
     
Cookie Information Banner